La red de Solana se vio afectada por un bug o error que afectó los proyectos más importantes de esta plataforma de código abierto. La falla paso desapercibida por al menos seis meses, el tiempo que estuvo desactivada públicamente la red.
La investigación de seguridad estima que las perdidas serian de miles de dólares por segundo y de $27 millones por hora. Lo que convertiría este inconveniente en el robo más importante hasta ahora en el mundo cripto.
◎❤️ security researchers https://t.co/5ImoWtIVnQ
— Solana (@solana) December 3, 2021
La empresa Neodyme, expertos en investigación de seguridad tecnológica y ecosistemas criptos, presume que los atacantes robaron millones de múltiples proyectos de Solana; provocando un error en la Biblioteca de Protocolo de Solana (SPL). Los más afectados hasta ahora son: Tulip Protocol, un agregador de rendimiento; así como también los dirigidos a préstamos como Solend y Larix. Estos dos últimos manejan fondos por un total de $1.7 mil millones.
Te puede interesar: Proyecto Aurory; La Opción de Solana para los Juegos NFT
Neodyme descubre el bug encubierto y mil millonario de Solana
En un principio el bug pasó desapercibido; los expertos de Neodyme explicaron que el error salió a la luz en una de sus auditorías, específicamente realizada a la plataforma de intercambio de archivos GitHub, en junio de este año. Sin embargo, en esa oportunidad los investigadores no pudieron determinar el tamaño de su impacto.
No fue sino hasta este 1 de diciembre, que los investigadores de Neodyme vieron que aun persistía el problema y que el error seguía afectado la red de Solana. Esto preocupó a los expertos de seguridad y de inmediato abrieron una investigación más profunda. Después de varias pruebas realizadas determinaron que ese “error de redondeo aparentemente inocuo”, tenía un potencial para robar una gran fortuna.
We recently discovered a critical bug in the token-lending contract of the solana-program-library (SPL). This blog post details our journey from discovery, through exploitation and coordinated disclosure, and finally the fix.
— Neodyme (@Neodyme) December 3, 2021
Una de las pruebas que realizaron, y que da el alcance real del error, fue enviar una transacción diseñada para explotar el bug y lograron “robar” 0.000001 BTC o unos $0.047 debido al “error de redondeo”. Esto se pude hacer unas 150 o 200 veces en cada transacción, según explican expertos de Neodyme. Lo que permitiría robar fondos desde $7500 por segundo hasta $27 millones por hora.
Es imposible determinar aun el total robado, sobre todo porque no se sabe cuánto podría haber durado el bug abierto antes de que se notara su presencia en la red. Los atacantes pudieron cometer el robo de manera rápida o dejar el error allí por varios días o incluso meses, poniendo más de mil millones de dólares en riesgo.
